下一代安全以人为本
四年过去了,下一代防火墙(NGFW)已成大势,但市场中对其解读方式却越来越多,也愈发复杂。随着时间的流逝,越来越多的厂商举起了NGFW的大旗,也让这个市场变得更加混乱。而这些混乱,一方面源自产品质量的参差不齐,另一个很重要的方面则是对于Gartner经典定义的“发扬光大”,对于NGFW中应该包括和不该包括的功能,众厂商均持有不同意见。今年又有几家国内厂商陆续发布了NGFW产品,至此国内网络安全厂商全面拥抱NGFW。而在之前发布NGFW的厂商,也不断向其产品中添加新的功能(比如定位僵尸主机或DLP相关)。且不论其是否符合NGFW的发展方向,至少在创新这一点上比拉大旗扯虎皮者强得多。
便宜没好货?未必!
下一代防火墙的价格目前还处于居高不下的阶段,一方面是由于下一代防火墙的研发成本和硬件成本都较高,但是各家厂商的销量还不足以摊平其前期投入成本,因此现阶段无法提供亲民的价格也属情理之中。以某国际知名下一代防火墙提供商的1Gbps应用层吞吐以上的产品为例,其使用了Intel、FGPA和ASIC三种不同的硬件芯片来分摊业务处理压力。国内也有几家知名安全厂商采用了相似的Intel搭配MIPS的混合架构模式来提升NGFW产品的稳定性和处理能力。同时也有一些NGFW产品采用了最新的Intel DPDK架构,既可以有效控制研发成本,降低前期产品售价,并且具备优秀的应用层处理能力。
当然,在实际采购过程中,用户一定还是看功能购买的。因此,在NGFW的功能授权方面,虽然NGFW的应用识别是与防火墙深度集成,却不是所有的NGFW提供商在销售产品时都将应用识别的授权向用户免费开放。因此,如果用户采购了需要单独付费的NGFW产品,那么无异于提升了其采购成本。笔者认为,应用感知/控制需要与防火墙固化,而不是存在具有应用感知和不具备应用感知两种交付形态。对于NGFW来说,根本就不应该存在这个问题,但现实还是被厂商搞混淆了。采购时应注意应用感知/控制功能是否需要另付费,或是打包到其他功能模块中付费,如果是的话,那么基本可以认为它仍然是UTM。
随着硬件性能的逐年增加,今年NGFW产品的性能应该比前几年有不小的提升,也许之前为了规格好看而虚高的性能指标能够实现了。Gartner定义的NGFW部署在对延迟敏感的大型企业网络环境中,这是区别于用在SMB的UTM的一个因素,但是却有个别厂商将NGFW产品主要定位于中小企业市场。笔者认为,若是能够做出性价比很高的产品,对于价格敏感的中小企业也是个福音,还能促使NGFW更加普及,使其成为防火墙的真正替代者,而不只是部分替代。其实不论是大企业还是中小企业,都是在乎TCO的。如果NGFW能够有效地降低部署成本,同时又可以提升安全性,那么何乐而不为呢。
汉王科技是NGFW的用户之一,对于汉王科技这样的上市企业并且是创造高智力附加值产品的企业来说,保障信息系统安全是信息部门日常工作的第一要务,在信息安全治理方面既要满足监管单位的合规性要求,又要充分识别、抵御威胁,降低信息资产暴漏的风险,因此他们对于网络的整体安全性要求是很严格的。汉王科技股份有限公司信息技术部IT运维负责人李锦毅讲道:“对于核心服务器区的安全防护,要求安全设备必须在保证高性能的前提下,提供网络攻击防护、入侵防御、病毒防护、URL过滤等一体化的安全防御解决方案。而在互联网边界处,除了要求提供全面的安全防御以外,还要对办公网用户的外发信息做到精细、严格的控制,仅允许用户向互联网上的可信目标发送文件,严防敏感数据泄漏”。
李锦毅补充道:“在实际测试过程中,给我们留下深刻印象的是网康NGFW在开启入侵防御、病毒防护、URL过滤、数据防泄漏等安全功能后,同样还能保证很高的数据转发性能,这与我们先前曾使用过的UTM产品有着天壤之别”。
汉王科技股份有限公司信息技术部IT运维负责人李锦毅
“看得见”才能更安全
“你不能保护你所不知道的”是安全圈的一句名言,但遗憾的是,虽然防火墙的功能越来越强大,但是仍然会产生越来越多的“不为人知”的信息。网康科技市场部产品市场经理熊瑛谈道:“安全建设过程中,管理比技
责任编辑:和硕涵
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络